1/1 V 



Access control system and method for smart cards 



Patent Number: DE37361 90 
Publication date: 1988-05-05 



Inventor(s): 

Applicant(s): 

Requested 
Patent: 

Application 
Number: 

Priority Number 
(s): 

IPC 

Classification: 
EC 

Classification: 
Equivalents: 



SHIRAISHI TAKAYOSHI (JP); SASAKI RYOICHI (JP); TAKARAGI KAZUO (JP); 
KURASHIKI NOBUHIRO (JP); TANIGUCHI NOBUHIRO (JP) 

HITACHI LTD (JP) 

□ DE373619Q 

DE1 98737361 90 19871026 
JP1 9860251 641 19861024 
G06F12/14; G06K19/06 

G06F1/Q0N1D1 . G06F21/00N1D1 . G07F7/10D2M 

□ JP631 06888 



Abstract 



The invention concerns a system and method for controlling access to smart cards, to each of which 
several users have access. After the smart card has been delivered by a manufacturer, a system 
administration centre accesses it and enters an access procedure, access area and access 
authorisation for each further user into the smart card. The further users can have access to the smart 
card only by matching the access procedure, access area and access authorisation which have been 
set by the system administration centre. The smart card (100(a)) has a data input/output device (101 
(a)), a data processing device (102(a)) and a data storage device (103(a)). The access procedure, 
access area and access authorisation are set by the system administration centre, in collaboration with 
the data processing device (102(a)) on the smart card (100(a)). A control device which is provided as 
part of the data processing device (102(a)) of the smart card monitors the correctness of the access 
procedure, access area and access authorisation on the user side, and takes suitable security measures 
on unauthorised access. For example, these may consist of inverting an invalidity recording code or of 



blocking operation. 
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Prufungsantrag gem. § 44 PatG ist gestelit 

® Zugriffssteuersystem und -Verfahren fur Chip-Karten 

Die Erfindung betrifftein System und Verfahren zur Steue- 
rung des Zug riffs zu Chip-Karten, zu denen jeweils mehrere 
Benutzer Zugriff haben. Nach Ueferung der Chip-Karte von 
einer Herstellerfirma greift eine System verwaftungszent rale 
zur Chip-Karte zu und setzt eine Zugriffsprozedur, einen Zu- 
griffsbereich und eine Zugriffsberechtigung ftir die jeweili- 
gen weiteren Benutzer in die Chip-Karte. Die weiteren Be- 
nutzer konnen zur Chip-Karte nur in Obereinstimmung mit 
der durch die Systemverwaltungszentrale gesetzten Zu- 
griffsprozedur, dem Zugriffsbereich und derZugriffsberech- 
tigung zugreifen. Die Chip-Karte (100(a)) weist eine Daten- 
ein/Ausgabeeinrichtung (101(a)), eine Datenverarbeitungs- 
einrichtung (102(a)) und eine Datenspeichereinrichtung 
(103(a)) auf, wobei das Setzen der Zugriffsberechtigung, des 
Zugriffsbereichs und der Zugriffsprozedur seitens der Sy- 
' stemverwaltungszentraieinZusammenarbeitmitderDaten- 
verarbeitungseinrichtung (1 02(a)) auf der Chip-Karte (1 00(a)) 
erfolgt. 

Eine als Teil der Datenverarbeitungseinrichtung (102(a)) der 
Chip-Karte vorgesehene Steuereinrichtung uberwacht die 
Richtigkeit der gesetzten Zugriffsprozedur, des Zugriffsbe'- 
reichs und der Zugriffsberechtigung seitens der Benutzer 
und ergreift geeignete SicherheitsmaSnahmen bei unbe- 
rechtigtem Zugriff, die z. B. im Invertieren eines Ungultig- 
keitserfassungskennzeichens oder im Blockieren des Be- 
triebs bestehen konnen. 
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Patentanspruche 

1. Verfahren zur Zugriff ssteuerung zu einer Chip- 
Karte, die eine Ein/Ausgabe-Einrichtung (lOlfof), 

* eine Datenverarbeitungseinrichtung ( 102(a)) und 
eine Datenspeichereinrichtung (103(a)) aufweist 
und zu der mehrere Benutzer zugreifen konnen, 
gekennzeichnet durch die aufeinanderfolgenden 
Schritte: 

a) Setzen einer Zugriffsberechtigung, einer 
Zugriffsprozedur und eines Zugriffsbereichs 
auf der Chip- Karte durch eine Systemverwal- 
tungszentrale; und 

- b) Freigabe des Zugriffs durch einen Benutzer, 
der danach zur Chip-Karte zugreifen will nur 
wenn der Benutzer die durch die Systemver- 
waltungszentrale gesetzte Zugriffsprozedur 
und/oder den Zugriffsbereich und/oder die 

' Zugriffsberechtigung innerhalb des gesamten 
durch die Systemverwaltungszentrale gekenn- 
zeichneten Zugriffsbereichs einhalL 

2. Verfahren nach Anspruch l f dadurch gekenn- 
. zeichnet, daB die Zugriffsprozedur und der Zu- 

. griffsbereich nur durch die Systemverwaltungszen- 
trale gesetzt werden konnen. - 
3v Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB sobald ein Benutzer versucht die zu- 
vor durch die Systemverwaltungszentrale gesetzte 30 
Zugriffsprozedur und/oder Zugriffsbereich zu an- 
dern, als GegenmaBnahmen eine Betriebsunterbre- 
chung, eih Datenioschen oder die Inversion eines* 
Ungultigkeitserfassungskennzeichens durchge- 
fuhrt werden. 35 
4. System zur Steuerung des Zugriffs zu einer Chip- 
JCarte (100(a)), die eine Datenein/Ausgabeeinrich- 
tung (101(a)), eine Datenverarbeitungseinrichtung 
(102(a)) und eine Datenspeichereinrichtung (103(a)) 
aufweist, wobei mehrere Benutzer ziir Chip-Karte 40 
zugreifen konnen, gekennzeichnet durch 

— eine Initialisierungseinrichtung (202,. 203, 
205, 206), die in Zusammenwirken mit der Da- 
tenverarbeitungseinrichtung (102(a)) und der 45 
Datenspeichereinrichtung (103(a)) der . Chip- 
Karte (100(a)) die Zugriffsprozedur, den Zu- 
griffsbereich und die Zugriffsberechtigung zur 
Chip-Karte getrennt von dem Zugriffsbereich, 
der Zugriffsprozedur und der Zugriffsberech- 50 
tigung durch die jeweiligen Benutzer setzt, 
wobei die Iniu'alisierungseinrichtung Teil einer 
Systemverwaltungszentrale (201) ist, und 

— eine als Teil der Datenverarbeitungsein- 
. richtung (102(a)) realisierte Steuereinrichtung, 55 

die die durch die Initialisierungseinrichtung 
getrennt spezifizierten Zugriffsberechtigun- 
gen, -Bereiche und -Prozeduren seitens der 
Benutzer uberwacht, ungultige Zugriffe erfaBt 
und bei unberechtigtem Zugriff seitens der je- eo 
weiligen Benutzer SicherheitsmaBnahmen 
steuert. 

Beschreibung 

65 

Die Erfindung betrifft ein Zugriffssteuersystem und 
-Verfahren fur ein Chip-Karten-Systern, bei dem mehre- 
re Benutzer zu auf einer Chip-Karte gespeicherter In- 
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formation zugreifen. Eine Chip-Karte besteht aus einem 
in seinen Abmessungen mit einer Kreditkarte identi- 
schen Plastikplattchen, das eine oder mehrere hochinte- 
grierte Schaltungs-Chips aufweist ..\ " : " * ' - 

5 Bei bekannten Chip-Karten-Systemen wird die Chip- 
Karte nur von dem einen Besitzer verwendet, wie beim . y ^ 
Kreditkartensystem. Um die MogUchkeit einer Chip- 
Karte besser auszunutzen, kann eine solche vorteflhaf- 
terweise.von mehreren Benutzern wie in einem Perso- 
10 nal-Cbmputer-System verwendet werden. 

Bei einem solchen Chip-Karten-System, bei dem 
mehrere BenutzeF einer Chip-Karte zugeordnet sind, 
speichert ein auf der Chip-Karte enthaJtener Speicher 
sowohl individuelle Information fur den einzelnen Be- 
15 nutzer, als auch Information, die von alien Benutzern 
* gemeinsam verwendet wird. Deshalb kann jeder zum 
Zugriff autorisierte Benutzer die gemeinsame Informa- 
tion leieht auslesen oder andern. Auflerdem konnte im 
Falle mehrerer Benutzer die zum Zugriff berechtigen- 
20 den Regeln nicht genau beachten, selbst wenn die Zu- 
griffsberechtigung mittels einer Kennummer oder der- 
gleichen uberpruft wird, die. Kennummer einer dritten 
Person bekannt werden, die somit eine Zerstorung oder 
den Verlust von den Benutzern zugeteOter Information 
25 ermoglichen konnte. 

Es. ist deshalb Aufgabe der Erfindung, ein Zugriffs- 
steuersystem und -Verfahren fur Chip-Karten fur einen 
Fall anzugeben; bei dem die Chip-Karte von mehreren 
Benutzern verwendet wird, wobei die Sicherheit insbe- 
sondere gegen unbeabsichtigtes oder falschliches Lo- 
schen von auf der Chip-Karte gespeicherter Informa- 
tion verbessert werden solL 

Zur Losungder obigen Aufgabe wird, um die Sicher- 
heit bei der Benutzung der Chip-Karte zu garantieren, 
erfindungsgemafi eine Steuerung der Zugriffsberechti- 
gung und des Zugriffsbereichs jeweils fur die System- 
verwaltung und den gewohnlichen Benutzer vorgese- 
hen. Dabei wird unter Systemverwaltung die Spezifika- 
tion der Registrierung, des Loschens, der Zugriffsproze- 
dur und des Zugriffsbereichs fur den gewohnlichen Be- 
nutzer verstanden. 

Letzterer ist eine zur Benutzung der Chip-Karte in 
Obereinstimmung mit den von der Systemverwaltung 
au ferlegten Beschrankungen autorisierte Personen. 

AuBerdem hat jeder Benutzer seinen eigenen Be- 
reich, und deshalb ist fur den anderen Benutzer die Be- 
rechtigung.zuin Zugriff zu diesem Bereich ebenfalls be- 
schrankt - . . 

ErfindungsgemaB wird eine neuevon def Farik gelie- 
ferte Chip-Karte einer zur Registrierung des der Sy- 
stemverwaltung zugeordneten Bereichs einer Opera- 
tion durch die Systemverwaltung unterworf en. 

Damit kann eine gewohnliche Benutzerperson zu 
dem fur die Systemverwaltung vorgesehenen Bereich 
nicht mehr zugreifen* 

Dann wird die Registrierung der Benutzer durch die 
Systemverwaltung durchgefuhrt Bei dieser Operation 
wird ein Bereich, zu dem ein jeweiliger Benutzer Zugriff 
hat, sowie. Prozeduren und Beschrankungen fur den je- 
weiligen Benutzer spezifiziert 

Diese Spezifikationen werden durch eine Inforraa- 
tionsschreiboperation; z. B. zum Einschreiben einer 
Kennummer fur den jeweiligen Benutzer in einen Be- 
reich, zu dem nur die Systemverwaltung Zugriff hat, 
ausgefuhrt. Nach dieser Initialisierungsoperation haben 
die Benutzer die Berechtigung zur Chip-Karte zuzu- 
greifen. 

Bei jedem Zugriff zur Chip-Karte rnuB der jeweilige 
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Benutzer die durch die Systemverwaitung vorgeschrie- 
bene Zugriffsprozedur eihhalten, beispielsweise eine 
dem Benutzer eigene Kennummer eingeben. AuBerdem 
kann ein jeweiliger Benutzer auch nach Beendigung der 
vorgeschriebenen Zugriffsprozdur, sobald zur Chip- 
Karte zugegriffen werden kann, zu keinem andern als 
dem von der Systemverwaitung zugewiesenen Bereich 
zugreifen. Das heiBt, daB auch der Benutzer versucht 
Daten zu uberschreiben, beispielsweise die dem Benut- 



auf der Chip-Karte in einen Bereich, zu dem nur die 
Systemverwaitung Zugriff hat und der ein Speicherbe- 
reich 101 fur eine Systemverwaltungskennummer t einen 
Speicherbereich 102 fur eine gewohnliche Benutzer- 
kennummer sowie einen Speicherbereich 103 fur eine 
Terminalkennummer umfafit, und einen Speicherbe- 
reich, zu dem sowohl die Systemverwaitung als auch ein 
gewdhniicher Benutzer Zugriff hat und der die Nach- 
richtenspeicherbereiche (A) und (B) 104 und 105 umf aBt. 



zer auferlegten Beschrankungen entfernen, weil eine 10 Die Zugriffsberechtigung des gewohnlichen Benutzers 



solche ungultige Operation durch die Chip-Karte erfaBt 
wird, die eine entsprechende GegenmaBnahme ergreift, 
beispielsweise die Operation verriegelt Genauso kann 
die Chip-Karte, wenn ein Benutzer unberechtigt Infor- 
mation aus einem nur der Systemverwaitung zugeteil- 
ten Bereich auslesen will, GegenmaBnahmen, die bei- 
spielsweise eine Verarbeitung zum Loschen von Infor- 
mation ergreifen. 
Mit dem beschriebenen erfindungsgemaBen Zugriffs- 



wird von der Systemverwaitung geeignet bestimmt. 
Diese Zugriffsberechtigung ist auf eine Leseoperation 
aus dem Bereich (A) 104 und auf eine Schreib- und 
Leseoperation fur den Bereich (B) 105 beschrankt 
15 AuBerdem sind die Bereiche 101 bis 105 bei Verwen- 
dung eines EEPROMs oder dergleichen uberschreibbar, 
und die darin gespeicherten Inhalte werden von einem 
im ROM-Speicherbereich 106 gespeicherten Chip-Kar- 
ten-Zugriffssteuerprogramm gesteuert Das Steuerpro- 



steuersystem JaBt sich ein unberechtigtes Auslesen, eine 20 gramm wird durch einen Befehl von einem Terminal 
Anderung der Information vermeiden und auBerdem . gestartet und danach werden Operatiohen, wie z, B. eine 
kann mittels des erfindungsgemaBen Zugriffssteuersy- Wiedergewinnungs- und Entscheidungsoperation durch 
stems fur die Informationsubertragung die Geheimhal- das Steuerprogramm ausgefuhrt und dadurch die im 
tung und Beachtung der Privatsphare bei der Verwen- Speicherbereich 107 des EEPROMs gespeicherten In- 
dung der Chip-Karte durch mehrere Benutzer erreicht 25 halte kontrolliert 

werden. Das heiBt, daB der am Terminal eingegebene Befehl 

Im folgenden wird die Erfindung anhand der Zeich- uber den I/O-Abschnitt \Q\(a) der Chip-Karte \GO(a) 
nung in Ausfuhrungsbeispielen naher beschrieben. Es gemaB Fig. la zur MPU 102(a) ubertragenund darin 
zeigt dekodiert wird, die das durchfuhrende Programm be- 

Flg.la ein Blockschaltbild einer erfindungsgemaBen 30 ginnend mit einer vorgegebenen Adresse, narnlich sei- 
Ausfuhrungsart der Chip-Karte; - " ner ersten Adresse, ablaufen laBt Das Programm v/eist 

Fig. lb schematisch ein Speicherbelegungsplan eines Nachrichtenverkehrssteuerfunktionen 1061, eine Zu- 
ROJS$- Speichers eines EEP ROM-Speichers auf der griffsberechtigungsentscheidungsfunktion 1063, eine 
Chig-Karte; Unterscheidungsfunktion fur ein benutztes Terminal 

F^g. 2 ein Blockschaltbild eines Ausfuhrungsbeispiels 35 und eine EEPROM-Auslese- und Einschreibfunktion 



eines Schlusselubertragungssytems; und 

Fig. 3 ein FIuBdiagramm eines ProtokoIIs der Schlus- 
selubertragung. 

Fig. 1 a zeigt zunachst schematisch ein Blockschaltbild 
des Aufbaus der Chip-Karte gemaB einem Ausfuh- 
rungsbeispiel der Erfindung. Eine Chip-Karte lOOfo? 
enthalt zwei hochintegrierte SchaJtkreise. 

Die Eingabe/Ausgabe-Daten werden uber einen I/O- 
Abschnitt i01(a) so ubertragen, daB sie von bzw. zu 



1054, auf (Fig. lb). 

Anhand der Fig. 2, die ein Ausfuhrungsbeispiel dar- 
stellt, wie ein die mit dem erfindungsgemaBen Zugriffs- 
steuersystem und Zugriffssteuerverfahren arbeitende 
40 Chip-Karte einsetzendes Nachrichten- bzw. Infcrma- 
tionsaustauschsystem konfiguriert ist und der Fig. 3, die 
ein FIuBdiagramm darstellt, das eine Verarbeitungspro- 
zedur beschreibt, die in dem in Fig. 2 gezeigten erfin- 
dungsgemaB konfigurierten System ein Schlusselliefer- 



einem EPROM (oder EEPROM) 103fo> uber einen Mi- 45 system bewirkt, wird die Erfindung weiterhin naher be- 



kroprozessor 102^ transferiert werden. Die 8-Bit-Mi- 
kroprozessoreinheit (weiterhin MPU) 102(a) enthalt ein 
4-KiIobyte Masken-ROM als Programmspeicherbe- 
reich. Das im Masken-ROM gespeicherte Programm 
wird zur Abwicklung des Datenverkehrs mit einer auBe- 50 
ren Einrichtung und zur Zugriffssteuerung in dem Da- 
tenspeicher (weiterhin EPROM) 103fo) verwendet 

Das EPROM 103(a) ist ein nichtfluchtiger Speicher, 
der die Benutzerdaten speichert und eine Kapazitat von 



acht Kilobyte haben kann. Dieser Speicher besteht aus 55 einer Zentrale 201. 



schrieben. 

Anhand des in Fig. 3 dargestellten FIuBdiagramms 
werden die Operationen der in den Fig. la, lb und 2 
dargestellten Teile erlautert 

Schritt301: 

Sobald ein Nachrichten aus tausch angefordert wird, 
ubertragt ein Benutzer 207 seine Kennummer 212 und 
die Kennummer 211 eines Terminals 205 t an dem eine 
Kartenlese/Schreibeinrichtung 206 angeschlossen ist zu 



einem EPROM-Speicherbaustein, bei dem die Daten 
elektrisch programmierbar und durch Ultraviolettlicht 
loschbar sind. 

Ein alternativ verwendbares EEPROM ist ein elek- 



trisch Ioschbarer und programmierbarer und nicht eo tausch. 



Schritt302: 

Die Zentrale 201 empfangt die Nachrichtenaustausch- 
anforderung vom Benutzer 207 und startet die Yorbe- 
reitung einer Chip-Karte 204 fur den Nachrichtenaus- 



fluchtiger Speicher, der ebenfalls die Speicherkapazitat 
acht Kilobyte haben kann. 

Nun wird ein Ausfuhrungsbeispiel der Erfindung be- 
schrieben, das bei einer Nachrichtenverkehrsoperation 
angewendetwird 

Fig. lb zeigt schematisch einen Speicherbelegungs- 
plan der gemaB der Erfindung konfigurierten Chip-Kar- 
te. In diesem Falle ist der Speicherbereich des EPROMs 



Schritt303: 

Die Zentrale 201 schreibt eine Kennummer 208 der 
Zentrale 201 in den auf der Chip-Karte vorgesehenen 
Speicherbereich 101 fur die Systemverwaltungskenn- 
65 nummer in diesem Anfangszustand. Dadurch wird die 
Zentrale 201 fur diese Chip-Karte zur Systemverwai- 
tung. 
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Schritt 304: / ' 

Um die Terminals einzuschranken, die Zugriff ziir Chip- 
Karte 204 haben, schreibt die Zentrale 201 eine Kenn- 
numiner 2i0 eines benutzten Terminals 202 und eine 
Kennummer 211 des vom Benutzer 207 betnebenen 
Terminals 205 in den Speicherbereich 103 der Chip-Kar- 
te 204, der fur die Terminalkennummer vorgesehen 1st 

Schritt-305:. 

Die Zentrale 201 schreibt die Kennummer 212 des Be- 
nutzers in den Speicherbereich 102 der Chip-Karte, der 
fur eine gewohnliche Benutzerkennummer vorgesehen 
ist 

Schritt 306: 

Die Zentrale 201 schreibt eine Nachricht in den Spei- 
cher, bereich (A) 104 der Chip-Karte 204 und liefert 
dam* die Chip-Karte an den Benutzer 207 mittels eines 
Liefernetzwerks fur materielle Outer (beispielsweise 
durch eine Einschreib-Postsendung). 
Schritt307: . 

Der Benutzer 207 empf angt die Chip-Karte 204 und gibt 
diese in die Kartenlese/Schreibeinrichtung 206, die mit 
dem Terminal 205 verbunden ist, ein. 
.Schritt 308: 

Der Benutzer 207 schreibt seine eigene Kennummer 
212 in die Chip-Karte 204 ein. 
Schritt 309: 

Ein Chip-Kartea-Zugriffssteuerprogramm, das in dem 
ROM-Bereich 106 auf der Chip-Karte 204 gespeichert 
ist,. sucht den Speicherbereich 102 fur die gewohnliche 
Benutzerkennummer ab um zu prufen, ob die Kennum- 
mer2ttiies-Benutzers207 bereits eingeschrieben ist 
Schritt 310: 

Falls die Kennummer 2 12 bereits eingeschrieben ist, for- 
dert das Steuerprogramm das.Terminal 205 auf, die Ter- 
minalkennummer 21 1 zu senden. 
Schritt 311: 

Das Steuerprogramm sucht den Speicherbereich 103 fur 
die Temusalkennummer um zu prufen, ob die Terrnihal- 
kennummer 211 des Terminals 205, mit dem der Benut- 
zer 207 arbeitet, bereits eingeschrieben wurde. 
Schritt312: 

Falls die Kennummer 21 1 bereits eingschrieben wurde, 
liest der Benutzer 207 die in den Nachrichteiispeicher- 
bereich (A)A04 auf der Chip-Karte 204 eingeschriebene 
Nachricht-209. 

Schritt313: t 
Der Benutzer schreibt eine Benutzernachricht 213 in 
den Speicherbereich (B) 105 der Chip-Karte 204 und 
schickt dann die Chip-Karte 204 an die Zentrale 201 
durch das Liefernetzwerk 214 fur materielle Guten 

Schritt 314: 

Die Zentrale 201 empfangtdie Chip-Karte 204 und gibt 
die Karte 204 in die Kartenlese/Schreibeinrichtung 203, 
die mit dem Terminal 202 verbunden ist. 
Schritt315: 

Die Zentrale 201 gibt der Chip-Karte 204 ihre eigene 
Kennnummer ein. 
..Schritt316? 

Das Steuerprogramm prtift, ob die Kennummer 201 der 
Zentrale bereits in den Speicherbereich 101 fur die Sy- 
stemverwaltungskennummer eingeschrieben ist, 
Schritt317: 

Falls die Kennummer 208 bereits eingeschrieben wurde, 
fprdert das Steuerprogramm vom Terminal 201 die 
' Obertragung der Terminalkennummer 21 0 an. 
Schritt318; 

Das Steuerprogramm sucht in dem Speicherbereich 103 
die Terminalkennummer um zu prufen t ob die Terminal- 
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kennummer 210 der Zentrale 201 bereits registriert 
wurde 

Schritt319: 

Falls die Terminalkennummer 210 bereits registriert ist, 
5 liest die Zentrale 201 die Nachricht 213 aus dem Nach- 
richtenspeicherbereich (B) 105 auf der Chip-Karte 204. 

Darauffolgend spring! das Steuerprogramm zum 
Schritt 320, falls die Prufung in den Schritten 309, 311, 
316 und 319 einen unregistrierten Fall ergibt, um die 
10 Verarbeitung zu unterbrechen, und dann wird Schritt 
321 ausgefuhrt, damit der Benutzer 207 von der Situa- 
tion benachricfitigt wird. 

Durch die Erfindung lassen sich folgende vorteilhafte 
Wirkungen erzielen: 

15 

1. Schutz gegen unberechtigtes Auslesen und An- 
derung der Daten beim Liefern der Chip-Karte, 

Wenn die Chip-Karte mittels des Liefernetzwerks fur 
20 materielle Guter, beispielsweise durch die Post, ver- 
schickt wird, kann die Chip-Karte mpglicherweise in die 
Hande einer dritten Person gelangen, die mit boswilli- 
ger Absicht in den Versandweg eingreift. 

In diesem Falie kann die dritte Person zur Chip-Karte 
25 nicht zugreifen, da die Chip-Karte selbst Kennummer, 
Terminalkennummer und dergleichen pruft, wie dies an- 
hand der Schritte 309, 311, 316 und 318 beschrieben 
wurde, und weil die dritte Person den Prufvorgang nicht 
weiB. Folglich kann auf diese Weise das unberechtigte 
30 Auslesen und Andern der Daten auf dem Versandweg 
verhindertwerden. - 

2. Schutz vor Anderung einer Nachricht der Zen- 
trale durch den Benutzer. 

35 

Der gewohnliche Benutzer oder eine dritte Person, 
die dessen Kennummer, die Terminalkennummer und. 
dergleichen, die auf der Chip-Karte gespeichert sind, 
weiB t kann folglich zur Chip-Karte zugreifen. Da jedoch 

40 die Information oder Nachricht der Zentrale in einen 
Bereich eingeschrieben wird, zu dem nur die Systemver- 
waltung Zugriff hat, kann diese Nachricht oder Inf orma- 
tion von einera solchen Benutzer oder von der dritten 
Person nicht geandert werden. Aus dem gleichen Grund 

45 kann der Benutzer nicht die Rolle der Systernverwal- 
tung durch unberechtigtes Auslesen oder Andern der 
Systemverwaltungskennummer ubernehmen, weil ein 
Benutzer nicht zum Speicherbereich 101 fur die System- 
verwaltungskennummer zum Zwecke des Auslesens 

50 oder Einschreibens von Daten zugreifen kann. 
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ACCESS CONTROL METHOD OF IC CARD 



BACKGROUND OF THE INVENTION 

The present invention relates to an access 
control method of information in a system in which a 
plurality of users utilize information stored in an IC 
card. An IC card comprises a plastic plate having a size 
identical to the size of a credit card in which one IC 
chip or plurality of IC chips is or are disposed. 

In a method to use an IC card, the user 
possesses an IC card to be exclusively used by the 
user like a cash card and a credit card of the con- 
ventional system. Moreover, advantageously used the 
characteristic of the IC card, one IC card may be shared 
among a plurality of users like in a personal computer 
system. 

In the usages of the IC card, when a plurality 
of users are assigned to an IC card, a memory of the 
IC card simultaneously includes information to be 
individually possessed by each user and information to 
be commonly used among the users- As a result, any 
user authourized to access the IC card has a chance to 
easily steal or alter the common information. Further- 
more, even with a control of the access right by use 
of an identification number or the like, if some users 
do not appropriately observe the rule concerning the 
access right, the identification number may be known by 



1 a third person, which possibly causes a damage or loss 
of information assigned to the users. 



SUMMARY OF THE INVENTION 

It is therefore an object of the present 
5 invention to provide an access control method of an IC 
card in a case where an IC card is utilized in a configu- 
ration in which a plurality of users exist, thereby 
improving the practicability in the usage of the IC card 
and solving the problems above. 

10 According to the present invention, in order 

to guarantee the safety of the IC card utilization, there 
are introduced controls of the access right and the 
access range for the system manager and the ordinary 
user, respectively. The system manager here means a 

15 person who specifies the registration, deletion, access 
procedure, and access range for the ordinary user. The 
(ordinary) user is a person allowed to use an IC card 
according to the restriction imposed by the system 
manager. Moreover, the user also has own area and 

20 hence the right to access to the area by another user 
is also restricted. 

According to the present invention, a virgin 
IC card delivered from a factory is subjected to an 
operation by the system manager for the registration 

25 of the system manager. This disables a person accessing 
thereafter to the IC card to be the system manager* 

Next, the system manager effects registration 



of users. In this operation, an area accessible by 
each user and procedures and restrictions for the users 
to access the IC card are also specified . 

The specifications are implemented by an 
operation to write information such as identification 
numbers and the like of the users in an area which can 
be accessed only by the system manager. After these 
operation of initialization, the users are enabled to 
access the IC card. 

When accessing the IC card, each user must 
follow the access procedures specified by the system 
manager, for example, to input an identification number 
unique to the user. Furthermore, even when the procedure 
is completed and the IC card is set to the accessible 
state, the user cannot access the areas other than those 
accessible areas specified by the system manager. That 
is, even when the user tries to rewrite data so as to 
remove the restrictions imposed on the user, this invalid 
operation is detected by the IC card, which accordingly 
takes a countermeasurement , for example, to lock the 
operation. Similarly, even when the user tries to steal 
information from the area accessible only by the system 
manager, the IC card can take an action, for example, 
to achieve processing to erase information. 

With the control method above to prevent the 
steal and alteration of information, the message trans- 
mission as well as the secrecy and privacy control of 
information can be accomplished by means of the IC card. 



BRIEF DESCRIPTION OF THE DRAWINGS 

FIG. 1 is a schematic diagram showing an 
example of the memory map of an IC card. 

FIG. 2 is a block configuration diagram illus- 
trating a configuration of a key delivery system. 

FIG. 3 is a flowchart of a protocol of the 
key delivery* 

DESCRIPTION OF THE PREFERRED EMBODIMENT 

FIG. 1 is a schematic diagram illustrating a 
configuration of an IC card according to the present 
invention. An IC card 100 (a) includes two LSI's. 
I/O data is communicated via an I/O section 101 (a) so 
as to be transferred to/from an EPROM (or EEPROM) section 
103 (a) through a microprocessor 102 (a) . The 8-bit MPU 

(microprocessor unit) 102 (a) includes therein a 4- 
kilobyte mask ROM for a program area. A program stored 

in the mask ROM is used to achieve a data communication 
with an external device and an access control on the 
data store memory (EPROM) 103 (a) . 

The EPROM 103 (a) is a nonvolatile memory 

storing the user data and has a capacity of eight 

kilobytes. This memory comprises an EPROM in which 

data is erased by an ultraviolet ray. 

The EEPROM is an erasable, nonvolatile memory 

and has a capacity of eight kilobytes. 

A description will be given of an embodiment 

of the present invention applied to a message exchange 



1 operation. 

FIG. 1 shows a memory map of an IC card in 
this embodiment. In this case, the area of the IC card 
is classified into an area accessible only by the system 
5 manager including a system manager identification number^ 
store area 101, an ordinary user identification number 
store area 102, and a terminal identification number 
store area 103 and an area accessible by both the system 
manager and the ordinary user including message store 
10 areas (A) 104 and (B) 105. The access right of the 

ordinary user can be arbitrarily determined by the system 
manager. The access right is limited to a message read 
operation for the message area (A) 104 and to message 
read and write operations for the message area (B) 105. 
15 Furthermore, the areas 101-105 are rewritable by use 

of an EEPROM or the like and the contents stored therein 
are controlled by an IC card access control program 
written in the ROM section 106. The control program 
is initiated by a command from a terminal and thereafter 
20 operations such as a retrieval and a judgment are 

accomplished by the control program, thereby controlling 
the contents stored in the EEPROM section 107. 

That is, the command from the terminal is 
read by the I/O section 101 (a) of the smart card 100 
25 (a) of FIG. 1 and is then decoded by the processor 102 
(a) , which causes the program to be executed beginning 
from the predetermined address of the ROM section 
103 (a), namely, the first address thereof. 



FIG. 2 shows an example of a configuration 
of a message exchange system implemented by use of the 
present invention . 

FIG . 3 is a flowchart illustrating a processing 
procedure to effect a key delivery system in the con- 
figuration of FIG. 2 according to the present invention. 

Next, referring to the flowchart of FIG- 3, 
a description will be given of the operations of the 
components of FIGS. 1-2. 
Step 301 

When requesting a message exchange, a user 

207 supplies a center 201 with an identification number 
212 of the user 207 and an identification number 211 of 
a terminal 205 to which a card reader/writer 206 is 
connected. 

Step 302 

The center 2 01 receives the message exchange 
request from the user 207 and then initiates preparing 
an IC card 20 4 for the message exchange. 
Step 3 03 

The center 201 writes an identification number 

208 of the center 201 in a system manager identification 
number store area 101 of the IC card in the initial 
state. This causes the center 201 to be the system 
manager of the IC card. 

Step 304 

In order to restrict terminals accessible to 
the IC card 204, the center 201 writes an identification 



number 210 of a terminal 202 in use and an identifi- 
cation number 211 of the terminal 205 operated by the . 
user 207 in a terminal identification number store area 
103 of the IC card 204. 
Step 305 

The center 201 writes the identification 
number 212 of the user in an ordinary user identification 
number store area 102 of the IC card. 
Step 306 

The center 201 writes a message in a message 
area (A) 104 of the IC card 204 and then delivers the IC 
card to the user 207 by use of a physical medium delivery 
network (for example, a registered mail) . 
Step 307 

The user 207 receives the IC card 204 and 
thereafter installs the card 204 in the card R/W 206 
connected to the terminal 205. 
Step 308 

The user 207 inputs the own identification 
number 212 to the IC card 204. 
Step 309 

An IC card access control program written in 
an ROM section 106 integrated in the IC card 204 searches 
the ordinary user identification number store area 102 
for a check to determine whether or not the identifi- 
cation number 212 of the user 207 has already been 
registered thereto . 



1 Step 310 

If the identification number 212 has been 
registered, the control program requests the terminal 
205 to send the terminal identification number 211. 
5 Step 311 

The control program searches the terminal 
identification number store area 103 for a check to 
determine whether or not the terminal identification 
number 211 of the terminal 205 operated by the user 207 
10 has already been registered. 
Step 312 

If the identification number 211 has been 
registered, the user 207 reads the message 209 written 
in the message store area (A) 104 of the IC card 204. 
15 Step 313 

The user writes a message 213 of the user in 
a message area (B) 105 of the IC card 204 and then 
delivers the IC card 204 to the center 201 by use of 
the physical medium delivery network 214. 
20 Step 314 

The center 201 receives the IC card 204 and 
thereafter installs the card 204 in the card R/W 203 
connected to the terminal 2 02. 
Step 315 

25 The center 201 inputs the own identification 

number 208 to the IC card 204. 
Step 316 

The control program effects a check to determine 



whether or not the identification number 201 of the 
center has already been registered to the system manager 
identification number store area 101. 
Step 317 

If the identification number 208 has been 
registered, the control program requests the terminal 
202 to transmit the terminal identification number 210. 
Step 318 

The control program searches the terminal 
identification number store area 103 for a check to 
determine whether or not the terminal identification 
number 210 of the center 201 has already been registered 
Step 319 

If the terminal identification number 210 has 
been registered, the center 201 reads the message 213 
from the message store area (B) 105 of the IC card 204. 

Incidentally, if the check results in a non- 
registered state in the steps 309, 311, 316, and 319, 
control jumps to step 320 to interrupt the processing 
and then step 321 is executed to notify the condition 
to the user 207 . 

According to the present invention, there will 
be attained the following effects. 

(1) Prevention of the steal and alteration of data in 
a course of the card delivery 

When the IC card is delivered by use of a 
physical medium delivery network such as the mail, 
the IC card may possibly be passed to a third person 



1 having a malicious intent in a route of the delivery. 
In such a case, since the IC card checks by itself the 
identification number, the terminal identification 
number, and the like as described in conjunction with 

5 the steps 309, 311, 316, and 318, the third person not 

knowing the check cannot access the IC card. Consequently, 
the steal and alteration of the data in the delivery 
route can be prevented. 

(2) Prevention of alteration of a center message by 

10 the user 

The (ordinary) user or a third person knowing 
the ordinary user identification number, the terminal 
identification number, and the like registered to the IC 
card can access the IC card accordingly. However, since 

15 the center message is written in an area accessible only 
by the system manager, the message cannot be altered by 
such a user nor by the third person. For the similar 
reason, since the system manager identification number 
store area 101 is prevented from being accessed (for a 

20 data read write operations) by the user; consequently, 
the user cannot become a system manager by stealing or 
altering the system manager identification number. 



CLAIMS : 

1 . A control method of an IC card having a data 
input/output section, a data processing section, and 

a data store section to be accessed by a plurality of 
users wherein 

a first user sets for another user an access 
procedure and an accessible range. of the IC card. 

2. A control method according to Claim 1 wherein 
said first user is a user first accessing the 

IC card and 

another user subsequently attempting to access 
the IC card is enabled to access the IC card when said 
another user executes the access procedure or within the 
accessible range specified by said first user. 

3. A control method according to Claim 1 wherein 
said access procedure and said accessible range can be 
set only by said first user. 

4. A control method according to Claim 1 wherein 
when said another user tries to alter the access procedure 
or the accessible range beforehand set, a lock of the 
operation, an erasure of data, or an inversion of an 
invalidity detection bit is effected as a counter- 
measurement. 

5. A control method according to Claim 1 wherein 
said first user is a manager of a system using said IC 
card. 



ABSTRACT OF THE DISCLOSURE 

In order to improve the reliability of a 
system in which an IC card is used by a plurality of 
users, only the user first accessing the virgin IC card 
delivered from a firm can set an access procedure and 
an accessible range of the IC card. The second and 
subsequent users use the IC card according to the access 
procedure and the accessible range thus established. 



ro 
O 



O 

o 

o 
q: 

S 

o 



00 

o 



2 si 

cc g a as 
a. ° dl ^ 

^ Kj £ 



ZD 




a. 




i- 




m 




CO 





V 


m 
O 


8 


O 


00 

o 




O 


& 


rO 

a 


o 



Q 
O 



LlI 
CO 
UJ 

q: 



> > ^ 

CD 



C\J 
C\J" 



CJ 
CD 





q: 




UJ 


q: 

LU 


MB 


CO 


ZD 


Z) 








CD 
O 











UJ 




AD 




UJ 




oc 


q: 




UJ 


Q 

5 









ro 
O 

CM 












UJ 




AD 




UJ 




oc 


UJ 


Q 




CAR 


WRI' 




00 

CT 

C\J 



UJ 



q: 
uj 



0D 



OJ 



UJ 
CD 
< 
CO 
CO 

111 



q: 
uj 



S O 

( 



FIG. 3 



( CENTER ) 



RECEIVE MESSAGE EXCHANG 
AND PRE PARE IC CARD 

1 



F 



302 




S 307 

[(USER) / 



REQUEST 
MESSAGE 
EXCHANGE 



INPUT SYSTEM MANAGER 
ID NUMBER 



303 



INPUT TERMINAL ID NUMBER 304 



INPUT ORDINARY USER 
ID NUMBER 



'305 



INPUT MESSAGE AND 
DELIVER IC CARD 



F 



306 



307- 



309 



RECEIVE IC 
CARD AND 
INSTALL THE 
CARD IN R/W 



-314 



INPUT ID 
NUMBER 



Jl5 




-3*- 



317' 



REQUEST TERMINAL 
IC NO. 




RECEIVE IC 
CARD AND 
INSTALL THE 
CARD IN R/W 



INPUT ID 
NUMBER 



REQUEST TERMINAL 
ID NUMBER 




'310 



308 



READ OUT 
MESSAGE 



INPUT MESSAGE 
AND DELIVER 
IC CARD 

~~l 

3(3 



READ OUT 
MESSAGE 



'yen. 

Y ^"MINAL ID" 



N 



320 



INTERRUPT 
PROCESSING 



32 



DISPLAY 



